周四, *** 安全公司Check Point Research发布了一份报告,详细介绍了23个Android系统的不良云配置和实施,可能使数百万用户的数据面临风险。可能泄露的信息包括电子邮件记录、聊天信息、位置信息、图像、用户ID和密码。
一半以上的应用程序的下载量都超过1000万,因此受影响的用户范围很大,Check Point估计,这些应用程序可能已经暴露了超过1亿用户的数据。
大多数应用程序都有实时数据库,开发人员对公众敞开了大门,这个问题非常常见且分布广泛,它的研究人员发现,在他们调查的一半以上的应用程序的数据库中,他们可以自由访问信息。
技术人员还发现,将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如,CPR从一个名为 “iFax”的传真应用程序中获取了密钥,这将使他们能够访问该应用程序的50多万用户发送的每一份传真。出于道德原因,研究人员没有访问这些记录,但通过代码分析验证了他们可以这样做。
他们发现的一个不太常见的问题仍然值得注意,那就是硬编码的推送通知键。嵌入的通知密钥并不像将云存储密钥编码到程序中那么严重,但CPR解释说,这也是同样糟糕的一种做法。
“虽然推送通知服务的数据并不总是敏感的,但代表开发者发送通知的能力足以引诱恶意的行为者。想象一下,如果一个新闻输出应用程序向其用户推送一个假的新闻条目通知,将他们引向一个钓鱼网页,要求他们更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。
Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造商,而且有几个制造商跟进了更新,以修复这些问题。然而,被调查的23个应用只是Google Play上287万个应用中的一个微不足道的样本,可能有更多的人在使用这些同样糟糕的做法。